DE60302620T2 - Method, system and apparatus for providing authentication of data communication - Google Patents

Method, system and apparatus for providing authentication of data communication

Info

Publication number
DE60302620T2
DE60302620T2 DE2003602620 DE60302620T DE60302620T2 DE 60302620 T2 DE60302620 T2 DE 60302620T2 DE 2003602620 DE2003602620 DE 2003602620 DE 60302620 T DE60302620 T DE 60302620T DE 60302620 T2 DE60302620 T2 DE 60302620T2
Authority
DE
Germany
Prior art keywords
string
agent
client
network entity
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE2003602620
Other languages
German (de)
Other versions
DE60302620D1 (en
Inventor
Rauno Javanainen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Coriant Oy
Original Assignee
Coriant Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to FI20021594 priority Critical
Priority to FI20021594A priority patent/FI113924B/en
Application filed by Coriant Oy filed Critical Coriant Oy
Application granted granted Critical
Publication of DE60302620D1 publication Critical patent/DE60302620D1/en
Publication of DE60302620T2 publication Critical patent/DE60302620T2/en
Application status is Active legal-status Critical
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance or administration or management of packet switching networks
    • H04L41/28Security in network management, e.g. restricting network management access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance or administration or management of packet switching networks
    • H04L41/02Arrangements for maintenance or administration or management of packet switching networks involving integration or standardization
    • H04L41/0213Arrangements for maintenance or administration or management of packet switching networks involving integration or standardization using standardized network management protocols, e.g. simple network management protocol [SNMP] or common management interface protocol [CMIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network

Description

  • TECHNISCHER BEREICH DER ERFINDUNG FIELD OF THE INVENTION
  • Die vorliegende Erfindung bezieht sich im Allgemeinen auf eine Kommunikation von Daten über eine Kommunikationsverbindung. The present invention relates generally to communication of data over a communication link.
  • HINTERGRUND DER ERFINDUNG BACKGROUND OF THE INVENTION
  • Das Simple-Network-Management-Protocol (SNMP) ist ein Standard-Protokoll auf Anwendungsebene, durch das Managementinformationen für ein Netzelement von logisch fernen Anwendern kontrolliert oder geändert werden können. The Simple Network Management Protocol (SNMP) is a standard protocol at the application level can be controlled by the management information for a network element of logically remote users or changed. SNMP wird weithin zum Verwalten des Internets und anderer Netze durch Verwenden des Übertragungsprotokolls/Netzprotokolls (TCP/IP = Transmission Control Protocol/Internet Protocol) oder des User-Datagram-Protokolls (UDP) für eine Client/Server-Kommunikation verwendet. SNMP is widely used to manage the Internet and other networks by using the transmission protocol / network protocol (TCP / IP Transmission Control Protocol / Internet Protocol) or User Datagram Protocol (UDP) for client / server communication. Das SNMP ist jedoch nicht auf irgendein bestimmtes Client/Server-Kommunikationsprotokoll begrenzt, da das SNMP den Inhalt und das Protokoll von Nachrichten für einen Zugriff auf Management-Informationen regelt und nicht die besondere Art und Weise, in der die Nachrichten übermittelt werden. However, the SNMP is not limited to any particular client / server communication protocol, as the SNMP governs the content and protocol messages for access to management information and not the particular way in which the messages are transmitted. Das SNMP ist in einem Dokument für Internet-Standards, RFC 1157, von J. Case, M. Fedor, M. Schoffstall und J. Davin namens "A Simple-Network-Management-Protocol (SNMP)" vom Mai 1990, definiert. The SNMP is in a document for Internet standards RFC 1157, by J. Case, M. Fedor, M. and J. Davin Schoffstall called "A Simple Network Management Protocol (SNMP)" defined by May 1990.
  • SNMP-Nachrichten werden zwischen einem Client (im RFC 1157 als ein "manager" bezeichnet) und einem Server (im RFC 1157 als ein "agent" bezeichnet) in einem Netz übermittelt. SNMP messages between a client (in RFC 1157 referred to as a "manager") and a server (in RFC 1157 as an "agent") in a network transmitted. Jede SNMP-Nachricht ist eine ASN.1-Standarddatenstruktur, die eine SNMP-Versionsnummer als INTEGER, einen Gemeinschaftsnamen als OKTETT-ZEICHENKETTE (eine Zeichenfolge von 8-bit Bytes) und Daten als ANY umfasst. Each SNMP message is an ASN.1 standard data structure that includes an SNMP version number INTEGER, a community name as OCTET STRING (a string of 8-bit bytes), and data as ANY.
  • Die SNMP-Spezifikation definiert eine Protokoll-Dateneinheit (PDU) zur Verwendung im Datenbereich von fünf verschiedenen Kategorien von SNMP-Nachrichten. The SNMP specification defines a protocol data unit (PDU) for use in the data area of ​​five different categories of SNMP messages. Die PDU ist eine ANS.1-Datenstruktur, die eine Anfrage-ID als INTEGER, einen Fehler-Status als INTEGER, einen Fehler-Index als INTEGER, eine VarBind als ZEICHENKETTE/SEQUENCE und eine VarBindList, die eine ABFOLGE VON/SEQUENCE OF VarBind ist, umfasst. The PDU is an ASN.1 data structure including a request ID as INTEGER, an error status as INTEGER, an error index as INTEGER, a VarBind as STRING / SEQUENCE and VarBindList that a SEQUENCE OF / SEQUENCE OF VarBind is included. Die Anfrage-ID ermittelt, ob die PDU für eine Holen/Get-Anfrage zum Erhalten von Werten von Belegstellen von verwalteten Objekten ist, für eine Nächsten-Holen/Get-next-Anfrage zum Erhalten des nachfolgenden Wertes in einer Liste von Werten, für eine Antwort-Holen/Get-response-Nachricht als Antwort auf eine Anfrage-Nachricht, für eine Setzen/Set-Anfrage zum Ändern der Werte von Belegstellen der verwalteten Objekte und für eine Blockier/Trap-Nachricht ist. The request ID determines whether the PDU for a Get / Get request for obtaining values ​​of citations of managed objects is a neighbor-Get / Get-next-request to obtain the following value in a list of values ​​for is a response Get / Get-response message in response to a request message, for setting / Set request to change the values ​​of citations of managed objects and for blocking / trap message. Die verwalteten Objekte für ein bestimmtes Netzelement sind in einer Datenstruktur definiert, die eine Management-Informations-Basis (MIB) genannt wird. The managed objects for a particular network element are defined in a data structure called a Management Information Base (MIB). Die MIB umfasst Objekt-Identifikatoren (OID) der verwalteten Objekte im Netzelement und die OIDs werden als Pfadnamen ausgedrückt. The MIB includes Object Identifiers (OID) of the managed objects in the network element, and the OIDs are expressed as path names.
  • Das SNMP stellt ein sehr niedriges Sicherheitsniveau zur Verfügung. SNMP provides a very low level of security available. Es gibt kein ausreichend sicheres Verfahren zum Konfigurieren von Einrichtungen, die auf SNMP basierende Kommunikation verwenden. There is not a secure method of configuring devices using SNMP-based communication. Es droht Abhören oder Schnüffeln. It threatens eavesdropping or sniffing. Es ist zu einfach den Verkehr zwischen dem Agent und dem Client zu überwachen und vorzuschwindeln, ein Agent oder ein Client zu sein. It is easy to monitor and vorzuschwindeln traffic between the agent and the client, being an agent or a client. Es droht, dass eine nicht autorisierte Instanz SNMP-Nachrichten, die sich auf dem Übermittlungsweg befinden, ändern kann. It threatens that an unauthorized entity SNMP messages that are located on the transmission, may change. Außerdem ist die "Gemeinschafts-Zeichenkette" für jeden zugänglich, der das Netz anzapfen kann, so dass eine nicht autorisierte Instanz die Identität einer autorisierten Instanz annehmen kann. In addition, the "communal string" is accessible to everyone who can tap into the network, so that an unauthorized entity can impersonate an authorized instance.
  • Eine Methode war derart, dass der Agent einen Authentisierungsdienst aufweist, der den Gemeinschaftsnamen als eine Art Passwort verwendet. One method was such that the agent has an authentication service that uses the community name as a password of sorts. Wenn der Authentisierungsdienst feststellt, dass der Gemeinschaftsname nicht für einen Zugang zum Agent passt, dann weist der Agent die Nachricht zurück. If the authentication service determines that the Community name not fit for access to the agent, then the agent has the message back. Dieses wird im RFC 1157 beispielsweise in Kapitel 4.1.6.5 diskutiert. This is discussed in RFC 1157, for example, in Chapter 4.1.6.5. Jedoch ist es wegen der Einfachheit des reinen Passwortansatzes ziemlich einfach, den Verkehr zwischen den Instanzen zu überwachen, das einfache Passwort zu knacken und vorzutäuschen, einer der beiden Teilnehmer zu sein. However, it is fairly easy because of the simplicity of pure password approach to monitor the traffic between the instances to crack the simple password and pretend to be one of the two participants.
  • Eine weitere Methode ist in einer Patentoffenlegungsschrift Another method is in a Patent Publication US 6,044,468 US 6,044,468 besprochen worden. been discussed. Ein Verschlüsselungsdienst im Client verschlüsselt Netzwerkmanagementinformationen mit einem geheimen Schlüssel, der durch den Agent erkannt werden kann, an den die Nachricht gerichtet ist. An encryption service in the client encrypts network management information with a secret key that can be detected by the agent to which the message is directed. Der Verschlüsselungsdienst ruft einen SNMP-Nachrichten-Übermittlungsdienst im Client auf, um eine sichere SNMP-Nachricht zu bilden, die eine scheinbare Objekt-ID (OID) aufweist, die ein Dekodierungsdienst im Agent identifiziert, und die einen scheinbaren Wert aufweist, den das Verschlüsselungsresultat umfasst. The encryption service invokes an SNMP message transmission service in the client in order to form a secure SNMP message that has an apparent object identifier (OID) that identifies a decoding service in the agent, and which has an apparent value that the encryption result includes. Der SNMP- Nachrichten-Übermittlungsdienst ruft einen Kommunikationsprotokolldienst im Client auf, um die sichere SNMP-Nachricht zum Agent zu schicken. The SNMP message transmission service invokes a communication protocol service in the client to send secure SNMP message to the agent. Ein Kommunikationsprotokolldienst im Agent empfängt die sichere SNMP-Nachricht und führt die empfangene Nachricht zu einem SNMP-Nachrichten-Empfangsdienst im Agent. A communication protocol service in the agent receives the secure SNMP message and executes the received message to an SNMP message reception service in the Agent. Der SNMP-Nachrichten-Empfangsdienst überprüft, ob ein Gemeinschaftsname, der in der sicheren SNMP-Nachricht sichtbar ist, für einen Zugang zum Agent passt oder nicht, und wenn er passt, durchsucht er eine Management-Informations-Basis (MIB) im Agent nach einem der scheinbaren OID entsprechenden Sub-Agent, und wenn solch ein Sub-Agent gefunden ist, befördert er den scheinbaren Wert der scheinbaren OID zum Sub-Agent. The SNMP message reception service checks whether a community name, which is visible in the secure SNMP message fits or for access to the agent does not, and if it fits, it searches a management information base (MIB) in the agent for one of the apparent OID corresponding sub-agent, and if such a sub-agent is found, it conveys the apparent value of the apparent OID to the sub-agent. Der Sub-Agent entschlüsselt das Verschlüsselungsresultat im offensichtlichen Wert und weist die Nachricht zurück, wenn der Sub-Agent nicht imstande ist, einen geheimen Schlüssel zu erkennen, der für einen Zugang zum Agent autorisiert ist. The sub-agent decrypts the encryption result in obvious value and rejects the message if the sub-agent is not able to recognize a secret key that is authorized for access to the agent. Solch eine Methode erfordert jedoch noch eine Zunahme der Komplexität des Systems durch die Verschlüsselung der übermittelten Nachricht und die Notwendigkeit für eine Sub-Agent-basierte, zusätzliche Überprüfung. However, such a method still requires an increase in the complexity of the system by encrypting the transmitted message and the need for a sub-agent-based, additional review. Dies ist besonders beim SNMP ein Nachteil, weil das System entworfen ist, um ein einfaches und ziemlich universelles Kommunikationsprotokoll für verschiedene Systeme darzustellen. This is a disadvantage especially when SNMP, because the system is designed to represent a simple and fairly universal communication protocol for various systems.
  • Noch eine weitere Methode ist in einer Veröffentlichung WO 01/24444 A2 diskutiert worden. Yet another method has been discussed in a publication WO 01/24444 A2. Dort wurden ein Authentisierungsverfahren, das SNMP, ein Agent und ein Client, und ein Initialisierungswert offenbart. There were an authentication method that uses SNMP, an agent and a client, and reveals an initialization. Die Publikation legt ein Verfahren und ein System für die Initialisierung eines SNMP-Agents im SNMPv3-Modus offen. The publication discloses a method and a system for initializing a SNMP agent in SNMPv3 mode open. Der Manager und der Agent erzeugen beide eine dazugehörige Zufallszahl und einen Allgemeinheits-Wert. The manager and the agent both generate an associated random number and a Allgemeinheits value. Die Zahl wird vollkommen zufällig erhalten. The number is obtained completely random. Die Allgemeinheits-Werte werden zwischen dem Manager und dem Agent ausgetauscht. The Allgemeinheits values ​​are exchanged between the manager and the agent. Nachdem die Allgemeinheits-Werte synchronisiert worden sind, kann der tatsächliche Verschlüsselungsvorgang gestartet werden. After the Allgemeinheits values ​​have been synchronized, the actual encryption process can be started.
  • Angesichts verschiedener systemimmanenter Beschränkungen von SNMP-basierter Kommunikation und SNMP-basierten Systemen, wäre es wünschenswert, diese und andere mit dem Stand der Technik verbundenen Probleme zu vermeiden oder abzuschwächen. In view of various limitations inherent in the system of SNMP-based communication and SNMP-based systems, it would be desirable to avoid these and other problems associated with the prior art or mitigate. So ist es notwendig, eine Einheit zur Authentisierung zu haben, dass die Nachricht von einer bestimmten Instanz stammt. So it is necessary to have a unit for authenticating that the message of a particular instance comes. Jedoch ist es auch gewünscht, dass die Einheit mit den SNMP-Datenstrukturen und SNMP-Protokollen so kompatibel wie möglich ist. However, it is also desired that the unit is as compatible as possible with the SNMP data structures and SNMP protocols.
  • ÜBERSICHT DER ERFINDUNG SUMMARY OF THE INVENTION
  • Jetzt sind ein Verfahren und ein System zur Authentisierung einer Instanz in einem gewöhnlich unsicheren Netzkommunikationsprotokoll wie dem Simple-Network-Management-Protocol (SNMP) erfunden worden. Now, a method and a system for authentication of an instance in an ordinarily insecure network communication protocol such as the Simple Network Management Protocol (SNMP) have been invented.
  • In Übereinstimmung mit einem ersten Aspekt der Erfindung wird ein System zum Bereitstellen einer Authentisierung von Datenkommunikation über eine Kommunikationsverbindung zwischen einem Client und einem Agent in Übereinstimmung mit einem gewöhnlich unsicheren Netzkommunikationsprotokoll zur Verfügung gestellt, wobei das Protokoll ein Gemeinschafts-Zeichenketten-Feld für eine Anwendung in der Datenkommunikation umfasst, worin eine einmal anzuwendende Zeichenkette, die auf einem vom Client und vom Agent gemeinsam verwendeten Initialisierungswert basiert, dazu ausgelegt ist, in das zur Authentisierung zwischen dem Client und dem Agent zu übermittelnde Gemeinschafts-Zeichenketten-Feld eingegliedert zu werden, wobei die Zeichenkette durch einen Algorithmus bestimmt wird, der basierend auf dem gemeinsam verwendeten Initialisierungswert sowohl beim Client als auch beim Agent den gleichen Wert bereitstellt. In accordance with a first aspect of the invention, a system for providing authentication of data communication over a communication link between a client and an agent in accordance with an ordinarily insecure network communication protocol is provided, wherein the protocol is a communal string field for an application in the data communication includes, wherein an even string to be applied, based on a shared by the client and the agent initialization, is adapted in the to be incorporated to be transmitted communal string field for the authentication between the client and the agent, wherein the string is determined by an algorithm based on the shared initialization both the client and the agent based provides the same value.
  • In Übereinstimmung mit einem zweiten Aspekt der Erfindung wird ein Vorrichtung zum Bereitstellen einer Authentisierung von Datenkommunikation über eine Kommunikationsverbindung zwischen einem Client und einem Agent in Übereinstimmung mit einem gewöhnlich unsicheren Netzkommunikationsprotokoll zur Verfügung gestellt, wobei das Protokoll ein Gemeinschafts-Zeichenketten-Feld für eine Anwendung in der Datenkommunikation umfasst, worin eine einmal anzuwendende Zeichenkette, die auf einem vom Client und vom Agent gemeinsam verwendeten Initialisierungswert basiert, dazu ausgelegt ist, in das zur Authentisierung zwischen dem Client und dem Agent zu übermittelnde Gemeinschafts-Zeichenketten-Feld eingegliedert zu werden, wobei die Zeichenkette durch einen Algorithmus bestimmt wird, der basierend auf dem gemeinsam verwendeten Initialisierungswert sowohl beim Client als auch beim Agent den gleichen Wert bereitstellt. In accordance with a second aspect of the invention, an apparatus for providing authentication of data communication over a communication link between a client and an agent in accordance with an ordinarily insecure network communication protocol is provided, wherein the protocol is a communal string field for an application in the data communication includes, wherein an even string to be applied, based on a shared by the client and the agent initialization, is adapted in the to be incorporated to be transmitted communal string field for the authentication between the client and the agent, wherein the string is determined by an algorithm based on the shared initialization both the client and the agent based provides the same value.
  • In Übereinstimmung mit einem dritten Aspekt der Erfindung wird ein Verfahren zum Bereitstellen einer Authentisierung von Datenkommunikation über eine Kommunikationsverbindung zwischen einer sendenden Netzinstanz und einer empfangenden Netzinstanz in Übereinstimmung mit einem gewöhnlich unsicheren Netzkommunikationsprotokoll zur Verfügung gestellt, wobei das Protokoll ein Gemeinschafts-Zeichenketten-Feld für eine Anwendung in der Datenkommunikation umfasst, worin das Verfahren folgende Schritte umfasst: In accordance with a third aspect of the invention, a method for providing authentication of data communication over a communication link between a transmitting network entity and a receiving network entity in accordance with an ordinarily insecure network communication protocol is provided, wherein the protocol is a communal string field for an application in the data communication includes, wherein the method comprises the steps of:
    Festlegen eines Initialisierungswertes an einer von beiden Netzinstanzen zum gemeinsamen Verwenden des Initialisierungswertes mit derjenigen Netzinstanz, die den Initialisierungswert nicht festgelegt hat, Setting an initialization value at one of two network entities for the common use of the initialization with that network entity that has not set the initialization,
    gemeinsames Verwenden des Initialisierungswertes mit derjenigen Netzinstanz, die den Initialisierungswert nicht festgelegt hat, common use of the initialization with that network entity that has not set the initialization,
    Erzeugen einer einmal anzuwendenden Zeichenkette basierend auf dem gemeinsam verwendeten Initialisierungswert sowohl an der sendenden Netzinstanz als auch an der empfangenden Netzinstanz, Create a string once applied based on the shared initialization on both the sending network entity and at the receiving network entity,
    Eingliedern der Zeichenkette an einer sendenden Netzinstanz in das Gemeinschafts-Zeichenketten-Feld zum Übermitteln einer Nachricht in Übereinstimmung mit dem gewöhnlich unsicheren Netzkommunikationsprotokoll, Incorporate the string at a sending network entity into the communal string field for transmitting a message in accordance with the ordinarily insecure network communication protocol,
    Empfangen der Nachricht an der empfangenden Netzinstanz, Receiving the message at the receiving network entity,
    Überprüfen der Zeichenkette des Gemeinschafts-Zeichenketten-Feldes der Nachricht auf Übereinstimmung mit der berechneten Zeichenkette an der empfangenden Netzinstanz, und Check the string of the communal string field of the message according to the calculated string at the receiving network entity, and
    Authentisieren der Nachricht, wenn die Zeichenkette des Gemeinschafts-Zeichenketten-Feldes der Nachricht mit der erzeugten Zeichenkette übereinstimmt. Authenticating the alert when the string of the community string field of the message with the generated string to match.
  • Für ein besseres Verständnis der vorliegenden Erfindung wird, unter Bezugnahme auf die Zeichnungen im Anhang, auf die folgende Beschreibung hingewiesen und ihr Geltungsbereich wird in den beigefügten Ansprüchen dargelegt. For a better understanding of the present invention will be appreciated with reference to the appended drawings, to the following description and its scope will be pointed out in the appended claims.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN BRIEF DESCRIPTION OF THE DRAWINGS
  • Die Erfindung wird jetzt nur mit Hilfe von Beispielen unter Bezugnahme auf die beigefügten Zeichnungen beschrieben, bei denen: The invention will now be described only by way of examples with reference to the accompanying drawings, in which:
  • 1 1 eine Ausführungsform einer Netzwerkumgebung darstellt, in der die Grundbestandteile der Erfindung zum Einsatz kommen, illustrating an embodiment of a network environment in which the base constituents of the invention are used,
  • 2 2 ein Beispiel einer kodierten SNMP-Nachricht zum Enthalten einer dynamisch variablen Kennung zur Authentisierung einer Netzinstanz in Übereinstimmung mit einer Ausführungsform der Erfindung schematisch darstellt, illustrating an example of encoded SNMP message for containing a dynamic variable identifier for authenticating a network entity in accordance with an embodiment of the invention schematically,
  • 3 3 in einer Form eines kombinierten Fluss- und Signalisierungs-Diagramms ein Verfahren zum Authentisierung einer Netzinstanz in einem gewöhnlich unsicheren Netzkommunikationsprotokoll in Übereinstimmung mit einer Ausführungsform der Erfindung darstellt, in a form of a combined flow-and-signaling diagram a method for authentication of a network entity in an ordinarily insecure network communication protocol in accordance with an embodiment illustrating the invention,
  • 4 4 in Form eines Flussdiagramms ein kollektives Verfahren zum Authentisieren von Netzinstanzen in einem gewöhnlich unsicheren Netzkommunikationsprotokoll in Übereinstimmung mit einer Ausführungsform der Erfindung darstellt. is in the form of a flow chart a collective method for authenticating network entities in an ordinarily insecure network communication protocol in accordance with an embodiment of the invention.
  • AUSFÜHRLICHE BESCHREIBUNG DER AUSFÜHRUNGSFORMEN DETAILED DESCRIPTION OF THE EMBODIMENTS
  • Die bevorzugten Ausführungsformen der Erfindung stellen ein Verfahren, ein System und eine Netzinstanz zum Authentisieren der Teilnehmer zur Verfügung. The preferred embodiments of the invention provide a method, a system and a network entity for authenticating the participants. Die bevorzugten Ausführungsformen wenden ein Gemeinschafts-Zeichenketten-Feld der SNMP-Nachricht an, um SET-basierte Operationen zwischen dem Agent und dem Client zu sichern. The preferred embodiments employ a communal string field of the SNMP message to secure SET-based operations between the agent and the client. Jede Gemeinschafts-Zeichenkette wird nur einmal angewendet und eine neue wird an beiden Enden mit dem gleichen, sicheren Algorithmus bestimmt. Each communal string is applied only once and a new one is determined on both ends with the same secure algorithm. Der verwendete sichere Algorithmus basiert auf einem zufälligen Initialisierungswert und kann das System mit der geforderten Sicherheit durch eine ausreichend komplexe Bildung der neuen Gemeinschafts-Zeichenkette aus dem Initialisierungswert versehen. The secure algorithm used is based on a random initialization and the system with the required safety can be provided from the initial value by a sufficiently complex formation of the new communal string. Die angewendete Gemeinschafts-Zeichenkette sollte genügend Bits enthalten, sodass jemand, der den Verkehr überwacht die Zufalls/Sequenz-Zeichenketten nicht verwenden kann. The applied communal string should contain enough bits so that someone who monitors the traffic can not use the random / sequence strings. Vorzugsweise sollten mindestens fünf Zeichen verwendet werden. Preferably at least five characters should be used. Das Verfahren, das System und die Instanzen entsprechend der Erfindung sind sehr zweckmäßig, weil sie das gewöhnlich unsichere Netzkommunikationsprotokoll, wie das Simple-Network-Management-Protocol (SNMP), mit einiger Sicherheit und Authentisierung versorgen können und doch die einfache Philosophie solch eines Kommunikationswegs wahren. The method, the system and the instances according to the invention are very useful because they that usually insecure network communication protocol such as the Simple Network Management Protocol (SNMP), can provide you with some security and authentication and yet the simple philosophy of such a communication path true.
  • 1 1 ist im vorangegangenen beschrieben worden. has been described in the foregoing. Im Folgenden wurden entsprechende Bezugszeichen an entsprechenden Teilen verwendet. In the following, corresponding reference numerals have been used at corresponding parts. Einige Ausführungsformen der Erfindung verwenden den Client ( Some embodiments of the invention use the client ( 100 one hundred ). ). Der Client ( The client ( 100 100 ) ist als datenverarbeitende Einheit, die eine Nachricht über ein Netz ( ) Is provided as a data processing unit (a message via a network 104 104 ) sendet (und vielleicht empfängt) definiert. ) Sends (and perhaps) receives defined. Der Client ( The client ( 100 100 ) kann eine Workstation eines Anwenders oder eines Administrators sein (nicht gezeigt). ) Can be a workstation of a user or an administrator (not shown). Der Client ( The client ( 100 100 ) umfasst einen Datenprozessor (nicht gezeigt) und einen Speicher (nicht gezeigt). ) Comprises a data processor (not shown) and a memory (not shown). Der Datenprozessor führt verschiedene Programme im Speicher aus, und die Ausführung kann den Informationszustand im Speicher ändern. The data processor executes various programs in memory, and the execution may change the information state in memory. Ähnlich wenden einige Ausführungsformen der Erfindung den Agent an ( Similarly, some embodiments of the invention apply the agent at ( 102 102 ). ). Der Agent ( The agent ( 102 102 ) ist als datenverarbeitende Einheit, welche die Nachricht sendet (und vielleicht empfängt) definiert. ) Is defined as a data processing unit which sends the message (and possibly receives). Der Agent ( The agent ( 102 102 ) kann ein Netzwerk-Datei-Server sein, der vom Systemverwalter konfiguriert wird. ) May be a network file server that is configured by the system administrator. Der Agent ( The agent ( 102 102 ) umfasst auch einen Datenprozessor (nicht gezeigt) und einen Speicher (nicht gezeigt). ) Also includes a data processor (not shown) and a memory (not shown). Mehr technische Details des Clients und des Agents können in der Standardisierungs-Spezifikation RFC 1157 gefunden werden. More technical details of the client and the agent can be found in the standardization specification RFC 1157th
  • Einige Ausführungsformen der Erfindung wenden die SNMP-Nachricht an. Some embodiments of the invention employ the SNMP message. Die SNMP-Nachricht enthält drei Hauptteile: die Protokollversion, den SNMP-Gemeinschafts-Identifikator, auch bezeichnet als Gemeinschafts-Zeichenkette oder Gemeinschafts-Zeichenketten-Feld, und den Datenbereich. The SNMP message contains three main parts: the protocol version, the SNMP community identifier, also referred to as communal string or communal string field, and the data area. Der Datenbereich ist in Protokoll-Dateneinheiten (PDUs) unterteilt. The data area is divided into protocol data units (PDUs). Die SNMP-Nachricht wendet Asn-1-Kodierung an. The SNMP message applies Asn-1 encoding. Ein Beispiel der kodierten SNMP-Nachricht kann in An example of encoded SNMP message can in 2 2 gesehen werden. be seen. Das Gemeinschafts-Zeichenketten-Feld ist in einer Zeichenfolge gespeichert, die in dem Beispiel, eine 6-Oktett-Zeichenkette ist, die das Wort 'public' enthält. The communal string field is stored in a string that in the example, a 6-octet string is which contains the word 'public'. Mehr technische Details über die SNMP-Nachricht können in der Standardisierungs-Spezifikations RFC 1157 gefunden werden. More technical details about the SNMP message can be found in the standardization specification RFC 1157th
  • Zurück auf das Beispiel von Back to the example of 1 1 verweisend, verwendet der Client ( Referring, the client uses ( 100 100 ) das Simple-Network-Management-Protocol (SNMP), um Managementinformationen des Agents ( ), The Simple Network Management Protocol (SNMP) to the agent management information ( 102 102 ) zu kontrollieren oder zu ändern. control) or change. Der Client ( The client ( 100 100 ) schließt ein Client-Anwendungsprogramm (nicht gezeigt) ein, das die zu kontrollierenden oder zu ändernden Managementinformationen spezifiziert, und der Agent ( ) Includes a client application program (not shown), which specifies the to be controlled or modified management information, and (the agent 102 102 ) umfasst ein Agent-Anwendungsprogramm (nicht gezeigt), welches in der Lage ist, auf Managementinformationen im Speicher des Agents ( ) Includes an agent application program (not shown) which is capable of (on management information in the memory of Agents 102 102 ) zuzugreifen oder sie zu ändern. access) or to change them. SNMP ist ein Protokoll auf Anwendungsebene, das durch das Client-Anwendungsprogramm oder der Agent-Anwendungsprogramm aufgerufen wird, um Nachrichten mit Hilfe von verschiedenen Arten von Kommunikationsprotokollen zu senden oder zu empfangen. SNMP is an application-level protocol, which is called by the client application program or the agent application program to send messages by using various types of communication protocols or receive. Der Client the client 100 100 hat einen SNMP-Sendedienst (nicht gezeigt) und einen SNMP-Empfangsdienst (nicht gezeigt) jeweils zum Übertragen und Empfangen der SNMP-Nachrichten. has a SNMP transmit service (not shown) and a SNMP receive service (not shown) each for transmitting and receiving the SNMP messages. Der SNMP-Sendedienst ruft einen Kommunikationsprotokolldienst (nicht gezeigt) auf, um SNMP-Nachrichten über das Netz ( The SNMP transmit service invokes a communication protocol service (not shown) to SNMP messages (via the network 104 104 ) zu senden. to send). Auf eine ähnliche Art und Weise kann der Kommunikationsprotokolldienst SNMP-Nachrichten vom Netz ( In a similar manner, the communication protocol services SNMP messages can (from network 104 104 ) empfangen und die Nachrichten an den SNMP-Empfangsdienst richten. ) Received and sent messages to the SNMP receive service. Der Agent ( The agent ( 102 102 ) hat gleichfalls einen SNMP-Sendedienst (nicht gezeigt), einen SNMP-Empfangsdienst (nicht gezeigt) und einen Kommunikationsprotokolldienst (nicht gezeigt). ) Likewise has an SNMP broadcast service (not shown), an SNMP retrieval service (not shown) and a communication protocol service (not shown). Die Kommunikationsprotokolldienste beispielsweise verwenden das Übertragungskontrollprotokoll/Transmission Control Protocol (TCP/IP) oder das User Datagram Protocol (UDP). The communication protocol services, for example, use the Transmission Control Protocol / Transmission Control Protocol (TCP / IP) or User Datagram Protocol (UDP).
  • Weiterhin auf das Beispiel von Further to the example of 1 1 Bezug nehmend, haben beide Instanzen (der Client Referring, both instances have (the client 100 100 und der Agent and the agent 102 102 ) ein sicheres Algorithmusprogramm (nicht gezeigt) zur Berechnung einer neuen Gemeinschafts-Zeichenkette vom Initialisierungswert. ) A secure algorithm program (not shown) to calculate a new communal string from the seed. Der sichere Algorithmus basiert abhängig von der Instanz auf dem erzeugten oder erhaltenen Initialisierungswert, wie später ausführlicher beschrieben wird. The secure algorithm is based depends on the instance to the generated or received initialization, described in more detail later. Das sichere Algorithmusprogramm erhält den Initialisierungswert. The secure algorithm program receives the initialization. Basierend auf dem erhaltenen Initialisierungswert berechnet das sichere Algorithmusprogramm einen/eine neuen/neue Wert/Zeichenkette, der/die so auch auf dem Initialisierungswert basiert. Based on the obtained initial value calculated secure algorithm program a / a new / new value / string of / as also based on the initial value. Dieser neue Wert ist zufällig und basiert nicht auf zyklischen sequentiellen Reihen. This new value is random and not based on cyclical sequential series. Jedoch hat die Berechnungsrunde in soweit eine Bedeutung, dass, beginnend beim Initialisierungswert, besagte Runde immer den gleichen Wert liefert (die gleiche Zeichenkette). However, the computation round in so far has a meaning that, beginning with the initialization value, said round always returns the same value (the same string). Dieses bringt dem System einen Vorteil, da das sichere Algorithmusprogramm beginnend beim Initialisierungswert für die gleiche Runde genau den gleichen Wert ausgibt. This brings an advantage to the system as the secure algorithm program outputs the same value starting from the initialization value for the same round accurately. Beispielsweise steht 1) eine Zeichenfolge "qwerty" für den Initialisierungswert. For example, is 1) a string "qwerty" for initialization. Empfängt 2) das sichere Algorithmusprogramm die Zeichenkette "qwerty" und erzeugt einen neuen Zeichenkettenwert "!"#¤%&/()=". Bei diesem Schritt sollte angemerkt werden, dass sich genau das gleiche Resultat "!"#¤%&/()=" ergeben hätte, obwohl nicht absolut das selbe Programm an der selben Instanz die Operation ausführen würde. Receives 2) secure algorithm program the string "qwerty" and creates a new string value "!" # ¤% & / = () ". In this step, it should be noted that exactly the same result"! "# ¤% & / would = () result ", though not absolutely the same program would run in the same instance of the operation. Beispielsweise würden der Client und der Agent, die ähnliche sichere Algorithmusprogramme aufweisen, in der ersten Runde das gleiche Resultat ergeben. For example, the client and the agent having similar secure algorithm program would have, give the same result in the first round. Produziert 3) der sichere Algorithmus einen neuen Zeichenkettewert "ASDFGHJKL" für die zweite Berechnungsrunde. Produces 3) of the secure algorithm a new string value "ASDFGHJKL" for the second calculation round. Selbstverständlich wäre dieses wieder das Resultat in jedem sicheren Algorithmusprogramm, das in irgendeiner operativen Einheit in dieser speziellen Runde läuft. Of course, this would again result in any secure algorithm program running in any operating entity in this special round. Das sichere Algorithmusprogramm kann beispielsweise auf MD5 basieren. The secure algorithm program can, for example based on MD5.
  • MD5 ist ein Algorithmus, der verwendet wird, um Datenintegrität durch die Bildung einer 128-bit-Nachrichtenkurzfassung aus einer Dateneingabe (die eine Nachricht jeder möglichen Länge sein kann) zu verifizieren, von der gefordert wird, so eindeutig bezüglich der speziellen Daten zu sein, wie dies ein Fingerabdruck bezüglich einer speziellen Einzelperson ist. MD5 is an algorithm that is used to provide data integrity through the formation of a 128-bit message digest from data input (which may be a message of every possible length) to verify required by the to be so clearly with respect to the specific data, as a fingerprint respect to a particular individual. MD5 ist zur Verwendung mit digitalen Unterschriften-Anwendungen bestimmt, die erfordern, dass große Dateien durch ein sicheres Verfahren komprimiert werden müssen, bevor sie mit einem geheimen Schlüssel durch ein öffentliches Verschlüsselungssystem verschlüsselt werden. MD5 is intended for use with digital signature applications, which require that large files must be compressed by a secure method before being encrypted with a secret key through a public encryption system. Zur Zeit ist MD5 ein Standard, Request For Comments (RFC) 1321 des Internet Engineering Task Force (IETF). Currently, a standard Request for Comments (RFC) is MD5 in 1321 of the Internet Engineering Task Force (IETF). Entsprechend dem Standard ist es "computermäßig nicht machbar", dass irgendwelche zwei Nachrichten, die dem Algorithmus MD5 eingegeben worden sind, als Ausgabe die gleiche Nachrichtenkurzfassung haben könnten, oder dass eine falsche Nachricht durch die Auffassungsgabe des Nachrichtenkurzfassungs-Algorithmus gebildet werden könnte. According to the standard it is "computationally infeasible" that any two messages that have been input to the MD5 algorithm could have as output the same message digest, or that a false message could be formed by the comprehension of the message short Resume algorithm. MD5 ist der dritte Nachrichtenkurzfassungs-Algorithmus. MD5 is the third message Short Resume algorithm. Alle drei (die anderen sind MD2 und MD4), haben ähnliche Strukturen, aber MD2 wurden optimiert für 8-bit Maschinen, im Vergleich zu den zwei neueren Formeln, die für 32-bit Maschinen optimiert sind. All three (the others are MD2 and MD4) have similar structures, but MD2 was optimized for 8-bit machines, compared to the two newer formulas that are optimized for 32-bit machines. Der Algorithmus MD5 ist eine Ausweitung von MD4, das laut einem kritischen Bericht zwar schnell, aber vielleicht nicht absolut sicher ist. The MD5 algorithm is an extension of MD4, which is fast but might not be absolutely certain, according to a critical report. Im Vergleich hierzu ist MD5 nicht ganz so schnell wie der Algorithmus MD4, bietet jedoch viel mehr Gewissheit bezüglich der Datensicherheit an. In comparison, MD5 is not quite as fast as the MD4 algorithm, but provides much more certainty regarding the data security on.
  • Noch unter Bezugnahme auf das Beispiel von Still referring to the example of 1 1 umfasst der Agent includes the agent 102 102 auch einen Zufallszahlengenerator zum Bilden des Initialisierungswerts. also a random number generator to form the initialization value. Vorzugsweise ist der Zufallszahlengenerator ein Pseudo-Zufallszahlgenerator (PRNG). Preferably, the random number generator is a pseudo-random number generator (PRNG). Der PRNG ist ein Programm, das für Wahrscheinlichkeits- und Statistikanwendungen geschrieben ist und bei solchen verwendet sind, wenn große Mengen von Zufallsziffern erforderlich sind. The PRNG is a program that is written for probability and statistics applications and are used in such when large amounts of random numbers are required. Die meisten dieser Programme erzeugen endlose Zeichenketten von Einzel-Ziffer-Zahlen, normalerweise mit Basis Most of these programs produce endless strings of single-digit numbers, usually with base 10 10 , bekannt als das Dezimal-System. , Known as the decimal system. Wenn große Stichproben von Pseudo-Zufallszahlen genommen werden, tritt jede der 10 Stellen im SET {0,1,2,3,4,5,6,7,8,9} mit im Wesentlichen gleicher Häufigkeit auf, obwohl sie nicht gleichmäßig in der Reihenfolge verteilt sind. When large samples of pseudo-random numbers are taken, each of the 10 locations in the SET occurs {0,1,2,3,4,5,6,7,8,9} on with essentially the same frequency, although they are not evenly the order are distributed. Beispielsweise erzeugt der Zufallszahlengenerator den "qwerty" Initialisierungswert. For example, the random number generator generates the "qwerty" initialization value. Alternativ kann der Client Alternatively, the client can 100 100 den Zufallszahlengenerator aufweisen, oder beide Netzinstanzen können den Zufallszahlengenerator haben. have the random number generator, or both network entities may have the random number generator.
  • Noch unter Bezugnahme auf Still referring to 1 1 , speichern beide Netzinstanzen ein Echtheitsüberprüfungsprogramm (nicht gezeigt). , Both power save instances an authenticity checking program (not shown). Das Echtheitsüberprüfungsprogramm wird im System für die Überprüfung verwendet, ob die Gemeinschafts-Zeichenkette so ist, wie erwartet. The authenticity testing program is used in the system for checking whether the communal string is as expected. Einige Operationen des Echtheitsüberprüfungsprogramms werden zunächst beschrieben. Some operations of the authenticity verification program are described. Da jede Gemeinschafts-Zeichenkette vom Initialisierungswert erzeugt worden ist, wird die berechnete neue Gemeinschafts-Zeichenkette in die SNMP-Nachricht zur Authentisierung eingegliedert und ans andere Ende übermittelt. Since any communal string has been generated from the seed, the calculated new communal string is incorporated into the SNMP message for authentication and transmitted to the other end. Das andere Ende überprüft die Echtheit und Gültigkeit der SNMP-Nachricht durch Überprüfen des Gemeinschafts-Zeichenketten-Felds und durch Vergleichen des Werts/der Zeichenkette des empfangenen Gemeinschafts-Zeichenketten-Felds mit dem Wert/der Zeichenkette, der/die vom sicheren Algorithmusprogramm des anderen Endes erhalten wird. The other end checks the authenticity and validity of the SNMP message by checking the communal string field and by comparing the value / string of the received communal string field with the value / string that / those of the other from the secure algorithm program end is obtained. Wenn der Wert/die Zeichenkette dasselbe anzeigen (oder sind), kann daraus abgeleitet werden, dass die SNMP-Nachricht authentisch und von den passenden authentischen Teilnehmern stammt. If the value / string display the same (or are), it can be inferred that the SNMP message authentic and comes from the appropriate authentic participants. Wenn es irgendeinen Unterschied zwischen dem Wert/der Zeichenkette der empfangenen Gemeinschafts-Zeichenkette und dem errechneten Gemeinschafts-Zeichenkettenwert des empfangenden Endes gibt, gibt das Echtheitsüberprüfungsprogramm eine Störung aus. If there is any difference between the value / string of the received communal string and the calculated communal string value of the receiving end, the authenticity checking program outputs an error. Dies kann zeigen, dass es vielleicht einen nicht autorisierten Teilnehmer gibt. This may indicate that there might be an unauthorized party.
  • 3 3 ist im vorangehenden beschrieben worden. has been described in the foregoing. Im folgenden wurden entsprechende Bezugszeichen an entsprechenden Teilen verwendet. In the following, corresponding reference numerals have been used at corresponding parts. Das Beispiel von The example of 3 3 enthält zwei wesentliche Netzinstanzen oder alternativ als Netzknoten bezeichnet: den Client contains two essential network instances or alternatively referred to as network nodes: the client 100 100 und den Agent and agent 102 102 . , Das Beispiel von The example of 3 3 ist fähig, in Übereinstimmung mit der gewöhnlich unsicheren Netzwerkprotokollkommunikation, wie dem SNMP, zu arbeiten. is able to work in accordance with the ordinarily insecure network protocol communications, such as SNMP. Eine der beiden Netzinstanzen legt den Initialisierungswert fest (Schritte One of the two network entities sets the initial value (Steps 300 300 und and 302 302 ). ). Vorzugsweise legt der Agent Preferably, the agent creates 102 102 den Initialisierungswert durch das Zufallszahlengeneratorprogramm fest. the initialization value by the random number generator program determines. Der Client the client 100 100 kontaktiert den Agent contacted the agent 102 102 durch die Get-Operation (Bekommen-Operation) in Übereinstimmung mit dem SNMP-Kommunikationsprotokoll. by the Get operation (Receiving operation) in accordance with the SNMP communication protocol. Bei diesem Schritt kann der Initialisierungswert möglicherweise im Voraus festgelegt werden, oder er kann festgelegt werden, wenn die Initiierung der SNMP-Kommunikation empfangen worden ist. In this step, the initialization may be possible to set in advance, or it can be set when initiating the SNMP communication has been received. Der Client the client 100 100 übermittelt die Get-Operation (Bekommen-Operation) an das Anbieter-spezifische Objekt mit irgendeiner Gemeinschafts-Zeichenkette. transmits the get operation (Receiving operation) to the supplier-specific object with any communal string. Der Agent The agent 102 102 empfängt die Kommunikation und antwortet dem Client receives the communication and responds to the client 100 100 durch Senden des Initialisierungswerts. by sending the initialization value. Vorzugsweise ist der Initialisierungswert in der Protokoll-Dateneinheit (PDU)-Feld der SNMP-Nachricht enthalten. Preferably, the initialization value in the protocol data unit (PDU) field of the SNMP message is included. Der Initialisierungswert hat ausreichend signifikante Bits um den aktuellen Initialisierungswert mit Zufallszahlen zu berechnen und jegliche auf dem Initialisierungswert basierende Ableitung. The initialization has significant bits to the current initialization to calculate sufficiently with random numbers, and any derivative based on the initialization.
  • Auf das Beispiel von In the example of 3 3 bezugnehmend kann alternativ der Initialisierungswert am Client referring to the initialization value can or the client 100 100 festgelegt werden, aber selbstverständlich wird der Initialisierungswert zum Agent be determined, but of course the initialization is for Agent 102 102 über die SNMP-Nachrichtenübermittlung kommuniziert, um die Netzinstanzen für die sichere Algorithmus-Durchführung zu harmonisieren. communicates via the SNMP messaging to harmonize the network entities for the secure algorithm implementation.
  • Weiterhin auf das Beispiel von Further to the example of 3 3 Bezug nehmend, wird in den Schritten Referring, in steps 304 304 und and 306 306 eine neue Gemeinschafts-Zeichenkette vom Initialisierungswert errechnet. a new communal string from the seed calculated. Sowohl der Agent Both the Agent 102 102 , als auch der Client , And the client 100 100 berechnen durch das geheime Algorithmusprogramm die neue Gemeinschafts-Zeichenkette vom Initialisierungswert. calculated by the secret algorithm program the new communal string from the seed. Die berechnete Gemeinschafts-Zeichenkette wird an den beiden Instanzen gespeichert. The calculated communal string is stored in the two instances. Danach ist, wann immer es notwendig ist, die SET-basierte Operation durchzuführen, die bestimmte Gemeinschafts-Zeichenkette zur Authentisierung des Teilnehmers zum Anwendung bereit. Is thereafter whenever it is necessary to perform the SET based operation that certain communal string for authentication of the user to the application ready. In Schritt in step 308 308 hat der Client eine Bedarfsmeldung an einer Netzoperation erhalten, die vorzugsweise irgendein Sicherheitsniveau voraussetzen kann. the client has received a demand signal to a network operation, which can preferably presume some level of security. Der Client the client 100 100 hängt die erzeugte Gemeinschafts-Zeichenkette an das Gemeinschafts-Zeichenketten-Feld oder gliedert sie in das Gemeinschafts-Zeichenketten-Feld ein. depends generated communal string to the communal string field or incorporates them into the communal string field. Der Client the client 100 100 schickt eine SET-basierte Operation zum Agent sends a SET-based operation to Agent 102 102 . , Die Übermittlung umfasst die SNMP-basierte Nachricht(en), welche die bestimmte Zeichenkette auf dem Gemeinschafts-Zeichenkettegebiet enthält (enthalten). The transmission comprises the SNMP based message (s) containing the specific string in the communal string field (included). Der Agent The agent 102 102 empfängt die SNMP-Nachricht in den Schritten receives the SNMP message in the steps of 308 308 und and 310 310 . , Der Agent The agent 102 102 überprüft die SNMP-Nachricht und insbesondere das Gemeinschafts-Zeichenketten-Feld. checks the SNMP message and especially the communal string field. Wenn das Gemeinschafts-Zeichenketten-Feld so ist, wie erwartet, wenn beispielsweise der Wert des übertragenen Gemeinschafts-Zeichenketten-Feld mit den Werten des berechneten Gemeinschafts-Zeichenketten-Feld-Wertes des Agents If the communal string field is as expected, for example if the value of the transmitted communal string field with the values ​​of the calculated communal string field value of the agent 102 102 übereinstimmt, akzeptiert der Agent matches, accepted the agent 102 102 die Authentizität. authenticity. Der Agent The agent 102 102 kann reagieren, indem er dem Client may respond by the client 100 100 eine positive Rückmeldungs-Nachricht schickt. sends a positive response message. Alternativ kann der Agent Alternatively, the agent can 102 102 den erzeugten Gemeinschafts-Zeichenketten-Feldwert des Agents the generated Agents of the communal string field value 102 102 an die Antwort-SNMP-Nachricht zur weiteren Authentisierung durch den Client the answer SNMP message for further authentication by the client 100 100 anhängen. Attach. Die Schritte The steps 308 308 und and 310 310 werden nur einmal für den momentan verwendeten errechneten Gemeinschafts-Zeichenketten-Feldwert durchgeführt. only be performed once for the currently used calculated communal string field value. Nachdem der Wert einmal verwendet worden ist, geht der Vorgang zu den Schritten After the value has been used once, the process proceeds to steps 304 304 und and 306 306 an den jeweiligen Enden zurück. at the respective ends back. Vorteilhafterweise wird die Authentisierungszeichenkette folglich nur einmal benutzt, was es schwieriger macht, die Authentisierungszeichenkette durch überwachen zu knacken. Advantageously, the authentication string is therefore used only once, making it more difficult to crack the authentication string by monitor. Wenn es notwendig ist, mehr SET-basierte Operationen durchzuführen, oder eine einzelne SET-basierte Operation mehr als eine Authentisierung für die Nachrichten annimmt, oder jede Nachricht aus irgendeinem Grund beglaubigt werden sollte, so wird die neue Gemeinschafts-Zeichenkette an den beiden Enden (Schritte If it is necessary to perform more SET-based operations, or accepts a single SET based operation more than one authentication for the messages or message should be authenticated for any reason, the new communal string is (at both ends steps 304 304 und and 306 306 ) bestimmt, und die neue bestimmte Zeichenkette wird einmal für den Authentisierungsvorgang in der aktuellen SET-Operation in den Schritten ) Determined and the new specific string once for the authentication process in the current SET operation in steps 308 308 und and 310 310 verwendet. used. Die Schleife der Schritte The loop of steps 304 304 und and 306 306 und der Schritte and steps 308 308 und and 310 310 kann solange durchgeführt werden wie die beiden Enden die gleiche Runde für das Erzeugen und das Anwenden und infolgedessen die Identifikation des Wertes/der Zeichenkette (value/string) des Gemeinschafts-Zeichenketten-Feldes beibehalten. can be performed as long as the two ends of the same round for the generation and the application, and consequently the identification of the value / string (value / string) maintaining the communal string field.
  • Weiterhin auf das Beispiel von Further to the example of 3 3 Bezug nehmend kann der Agent can reference the agent 102 102 , wenn der Agent If the agent 102 102 feststellt, dass der Wert des Gemeinschafts-Zeichenketten-Feldes, das der Agent determines that the value of the communal string field, which the agent 102 102 empfangen hat, nicht mit dem Wert übereinstimmt, den er errechnet hat, daraus ableiten, dass die SNMP-Nachricht nicht authentisch ist. has received does not match with the value it has calculated deduce that the SNMP message is not authentic. Infolgedessen kann der Agent As a result, the agent 102 102 die SNMP-Nachricht missachten, die er empfangen hat. disregard the SNMP message it has received. Der Agent The agent 102 102 bringt den Vorgang zurück zum Schritt brings the process back to step 300 300 , um den Initialisierungswert wieder neu festzulegen. To again redefine the initialization. Der Agent The agent 102 102 kann eine Störungsbestätigung (negative Bestätigung) an denjenigen erwidern, der die SNMP-Nachricht gesendet hat. can return a fault acknowledgment (negative acknowledgment) to the person who sent the SNMP message. Folglich erhält derjenige, der die SET-Operation-SNMP-Nachricht gesendet hat, Informationen über den Ausfall. Consequently, receives the one who sent the SET operation SNMP message information about the failure. Jetzt, wenn dieses der passende Client Now if this is the appropriate client 100 100 ist (und kein Betrüger), kann er zum Schritt (and not an imposter), it can to step 302 302 im Vorgang zurückgehen, um die korrekte authentifizierte Kommunikation mit dem Agent back in operation to the correct authenticated communication with the agent 102 102 wieder herstellen. restore.
  • Weiterhin unter Bezugnahme auf das Beispiel von Still referring to the example of 3 3 , wenn der Client When the client 100 100 feststellen kann, dass der Wert des Gemeinschafts-Zeichenketten-Feldes, das der Client may find that the value of the communal string field that the client 100 100 empfangen hat, nicht mit dem Wert übereinstimmt, kann er selbstverständlich daraus ableiten, dass die SNMP-Nachricht nicht authentisch ist. has received does not match with the value it can, of course, derive from the fact that the SNMP message is not authentic.
  • 4 4 ist im Vorangehenden beschrieben worden. has been described in the foregoing. Im Folgenden wurden sich entsprechende Bezugszeichen an sich entsprechenden Teilen verwendet. In the following, corresponding reference numerals have been used per se corresponding parts. In Schritt in step 400 400 wird der Initialisierungswert festgelegt. the initialization value is set. Vorzugsweise wird der Initialisierungswert vom Agent Preferably, the initialization of the agent 102 102 festgelegt, und der Initialisierungswert kann vielleicht im Voraus festgelegt und gespeichert werden. determined and the initialization can perhaps be set in advance and stored. Alternativ kann der Client Alternatively, the client can 100 100 den Initialisierungswert festlegen, oder beide Enden legen den Initialisierungswert fest und derjenige, der das gemeinsame Verwenden des Initialisierungswerts einleitet, legt den dominierenden und verwendeten Initialisierungswert fest. set the initial value, or both ends put the initialization fixed and the one who initiates the sharing of the initialization value, determines the dominant and used initialization value. Der Initialisierungswert wird durch das Zufallszahlengeneratorprogramm erzeugt, wie oben im Beispiel von The initialization value is generated by the random number generator program as described above in the example of 1 1 beschrieben. described. In Schritt in step 402 402 startet der Client starts the client 100 100 die Get (Bekommen/Holen)-Operation. the Get (Get / Get) operation. Der Client the client 100 100 übermittelt die Get-Anfrage dem Agent transmits the Get request the Agent 102 102 durch die SNMP-Nachricht (Unter-Schritt (By the SNMP message substep 408 408 ). ). Die SNMP-Nachricht enthält jetzt jeden Gemeinschafts-Zeichenketten-Feld-Wert(e). The SNMP message now includes any communal string field value (s). Als eine Antwort vom Agent As a response from the agent 102 102 , empfängt der Client , The client receives 100 100 die SNMP-Nachricht, die den Initialisierungswert enthält. the SNMP message containing the initialization. Vorzugsweise ist der Initialisierungswert im PDU-Feld der SNMP-Nachricht enthalten. Preferably, the initialization value in the PDU field of the SNMP message is included. So reagiert der Agent Thus, the agent responds 102 102 auf den Client to the client 100 100 durch die Get-Antwort (Unter-Schritt (By the Get-response substep 410 410 ). ). Vorzugsweise sollte die Bit-Menge des Initialisierungswerts groß genug sein, dass der errechnete Zufalls-Prozess zuverlässig genug ist. Preferably, the bit amount of initialization value should be large enough that the calculated random process is reliable enough. In Schritt in step 404 404 wird der Wert für die auf dem Gemeinschafts-Zeichenketten-Feld basierende Authentisierung vom Initialisierungswert berechnet. the value of which is based on the communal string field authentication is calculated from the seed. Sowohl der Client Both the client 100 100 als auch der Agent and the Agent 102 102 führen die Berechnung durch, die auf dem gleichen Initialisierungswert durch das sichere Algorithmusprogramm basiert, wie im Kontext mit dem Beispiel von perform the calculation based on the same initial value by the secure algorithm program as in the context of the example of 1 1 beschrieben ist. is described. Der Client the client 100 100 erhält eine Anfrage für die SET-basierte Kommunikation. receives a request for the SET-based communications, Der errechnete Wert, der auf dem Initialisierungswert basiert, ist in das Gemeinschafts-Zeichenketten-Feld der SNMP-Nachricht eingebettet. The calculated value based on the initial value is embedded in the communal string field of the SNMP message. Der Client the client 100 100 schickt eine SET-basierte Operation durch die SNMP-Nachricht zum Agent sends a SET-based operation by the SNMP message to the agent 102 102 . , Die SNMP-Nachricht enthält den errechneten Gemeinschafts-Zeichenketten-Feld-Wert. The SNMP message contains the calculated communal string field value. Der Agent The agent 100 100 empfängt die SNMP-Nachricht, überprüft das Gemeinschafts-Zeichenketten-Feld der SMNP-Nachricht. receives the SNMP message, checks the communal string field of the SNMP message. Der Agent The agent 102 102 überprüft, ob der Wert des Gemeinschafts-Zeichenketten-Feldes der SMNP-Nachricht mit dem Wert übereinstimmt, den der Agent verifies that the value of the communal string field of the SNMP message matches the value that the Agent 102 102 vom Initialisierungswert durch das sichere Algorithmusprogramm berechnet hat. has calculated from the seed by the secure algorithm program. Der Agent sendet eine Bestätigungs-Antwort, wenn es eine Übereinstimmung gibt. The agent sends a confirmation response when there is a match. Der Agent The agent 102 102 arbeitet auch entsprechend der vom Client also works according to the client 100 100 empfangenen SET-Operationsanfrage. received SET operation request. Der Schritt The step 406 406 stellt sicher, dass im Vorgang die Authentisierungszeichenkette nur einmal angewendet wird. ensures that the authentication string is applied only once in the process. Beide Enden führen den Schritt Both ends perform the step 406 406 nur einmal zum Sicherstellen durch und zum Erhöhen der Sicherheit, indem die beide Enden gezwungen werden, eine neue Gemeinschafts-Zeichenkette vom Initialisierungswert für die Authentisierung zu erzeugen. only once to ensure by and increasing safety by the two ends are forced to create a new communal string from the seed for authentication. Die Schleife der Schritte The loop of steps 404 404 und and 406 406 kann solange durchgeführt werden, wie die beiden Enden dieselbe Runde für das Erzeugen und für das Anwenden und infolgedessen für die Identifikation des value/string (des Werts/der Zeichenkette) des Gemeinschafts-Zeichenketten-Feldes beibehalten. can be performed as long as the both ends maintain the same round for the generation and for applying and, consequently, for the identification of the value / string (of the value / string) of the communal string field.
  • Weiterhin unter Bezugnahme auf das Beispiel von Still referring to the example of 4 4 kann das System alternativ einen zusätzlichen Authentisierungsschritt haben. the system may alternatively have an additional authentication step. Nachdem der Agent After the agent 102 102 die SNMP- Nachricht empfangen hat, die den ersten Gemeinschafts-Zeichenketten-Feld-Wert zur Authentisierung enthält, überprüft der Agent SNMP has received message containing the first communal string field value for authentication, verifies the agent 102 102 normalerweise die Übereinstimmung des empfangenen Werts mit dem erzeugten Wert. typically the consistency of the received value with the generated value. Der Agent The agent 102 102 kann nun den Wert, den der Agent is now the value that the agent 102 102 durch das sichere Algorithmusprogramm erzeugt hat, in das Gemeinschafts-Zeichenketten-Feld der Bestätigungs-SNMP-Nachricht eintragen und die Nachricht an den Client generated by the secure algorithm program, enter into the communal string field of the acknowledgment SNMP message and the message to the client 100 100 schicken. Send. Der Client the client 100 100 empfängt die Nachricht und überprüft auch die Übereinstimmung zwischen dem Wert, den der Client durch das sichere Algorithmusprogramm erzeugt hat und der zum Agent receives the message and checks the match between the value that the client generated by the secure algorithm program and the Agent 102 102 geschickt wurde, und dem Wert der empfangenen Bestätigungs-SNMP-Nachricht. was sent, and the value of the received acknowledgment SNMP message. Wenn es eine Übereinstimmung gibt, erhält der Client If there is a match, the client receives 100 100 eine doppelte Authentisierungsprüfung. a double authentication check. Der Client the client 100 100 kann jetzt auch wissen, dass er es mit einem authentisierten Agent zu tun hat. can now also know that he is dealing with an authenticated Agent. Dies kann für eine Operation oder Funktionen vorteilhaft sein, die eine Authentisierung an den beiden Enden fördert oder sogar voraussetzt. This may be advantageous for an operation or functions that promote an authentication at both ends, or even requires. Beispielsweise setzen viele Telekommunikations-basierte Geldtransaktionen eine Berechtigung der Beteiligten voraus. For example, many telecommunication based financial transactions require a permission of those involved. Wenn bei dieser alternativen Ausführungsform wiederum eines der beiden Enden feststellt, dass es keine Übereinstimmung zwischen den Werten des Gemeinschafts-Zeichenketten-Feldes gibt, gibt es eine Meldung, dass die Authentisierung des anderen Teilnehmers fraglich sein kann. If in turn determines one of the two ends, in this alternative embodiment is that there is no match between the values ​​of the communal string field, there is a message indicating that the authentication of the other party may be questionable. Der Vorgang geht zum Schritt The process proceeds to step 400 400 zurück. back.
  • Es kann mindestens zwei Optionen geben, die das Zurückgehen auslösen. There may be at least two options that trigger going back. 1) Einer der beiden Teilnehmer stellt fest, dass die Werte nicht übereinstimmen und geht zurück zum einleitenden Schritt. 1) One of the participants noted that the values ​​do not match and returns to the initial step. Der andere Teilnehmer kann noch für das Erzeugen neuer, auf dem ursprünglichen Initialisierungswert basierenden Gemeinschafts-Zeichenketten-Werte in der Schleife sein. Others can be even for the creation of new, based on the original initialization communal string values ​​in the loop. Jedoch kann der andere Teilnehmer feststellen, dass es eine Störung gibt, obwohl er keine spezielle Nachricht diesbezüglich empfängt. However, the other participants may find that there is an error, even though it receives no special message in this regard. Da die erbetene SNMP-Nachrichten-basierte Operationen) kein Resultat liefert, kann der andere Teilnehmer ableiten, dass eine Störung aufgetreten ist und kann zum Anfang des Prozesses zurückgehen. Since the requested SNMP message-based operations) does not provide a result, the person can deduce that an error has occurred and may to the beginning of the process to go back. 2) Einer von beiden Teilnehmern schickt die negative Bestätigungs-SNMP-Nachricht zum anderen Teilnehmer, dass die Authentisierung nicht übereinstimmt. 2) One of the two participants sends the negative acknowledgment SNMP message to the other party that the authentication is not the same. Die negative Bestätigungs-Nachricht kann eine Anfrage enthalten, den Initialisierungswert-Bitdungs-Vorgang wieder einzuleiten. The negative acknowledgment message may include a request to initiate the initialization-Bitdungs ​​process again.
  • Weiterhin auf das Beispiel von Further to the example of 4 4 Bezug nehmend, kann alternativ der zurzeit angewendete Gemeinschafts-Zeichenketten-Feld-Wert jedesmal geändert werden, wenn eine SNMP-Nachricht zwischen den Netzinstanzen übermittelt wird. Referring, alternatively, the currently applied communal string field value can be changed every time SNMP message is transmitted between the network entities. Beispielsweise wird ein erster bestimmter. For example, a first certain. Gemeinschafts-Zeichenketten-Feldwert für die SET-basierte Operation vom Client zum Agent angewendet. Communal string field value for the SET based operation from the client applied to the agent. Ein zweiter Gemeinschafts-Zeichenketten-Feldwert wird an den beiden Enden bestimmt, und der zweite Wert wird für die Antwort vom Agent zum Client verwendet. A second communal string field value is determined at the both ends, and the second value is used for the response from the agent to the client.
  • Der Client (beziehungsweise der Agent) können als eine sendende Netzinstanz oder eine empfangende Netzinstanz dienen. The client (or agent) can serve as a sending network entity or a receiving network entity. So bildet das Client-Agent-Paar das Übermittler- Empfänger-Paar (beziehungsweise das Empfänger-Übermittler-Paar) in der Datenkommunikation in Übereinstimmung mit dem gewöhnlich unsicheren Netzkommunikationsprotokoll wie dem SNMP. Thus, the client agent pair forms the Transmitter and receiver pair (or the receiver-transmitter pair) in data communication in accordance with the ordinarily insecure network communication protocol such as SNMP.
  • Bestimmte Implementierungen und Ausführungsformen der Erfindung sind beschrieben worden. Particular implementations and embodiments of the invention have been described. Es ist für eine Person, die im Stand der Technik erfahren ist, offensichtlich, dass die Erfindung nicht auf die oben dargestellten Details der Ausführungsformen beschränkt ist, sondern dass sie in anderen Ausführungsformen mit gleichwertigen Mitteln implementiert werden kann, ohne von den Merkmalen der Erfindung abzuweichen. It is for a person who is skilled in the art, obvious that the invention is not limited to those illustrated above, details of the embodiments, but that it can be implemented in other embodiments using equivalent means without deviating from the characteristics of the invention , Der Bereich der Erfindung wird nur durch die beigefügten Patentansprüche beschränkt. The scope of the invention be limited only by the appended claims.

Claims (13)

  1. System zum Bereitstellen einer Authentisierung von Datenkommunikation über eine Kommunikationsverbindung ( A system for providing authentication of data communication over a communication link ( 104 104 ) zwischen einem Client ( ) (Between a client 100 100 ) und einem Agent ( ) And an agent ( 102 102 ) in Übereinstimmung mit einem gewöhnlich unsicheren Netzkommunikationsprotokoll, wobei das Protokoll ein Gemeinschafts-Zeichenketten-Feld für eine Anwendung in der Datenkommunikation umfasst, dadurch gekennzeichnet , dass eine einmal anzuwendende Zeichenkette, die auf einem vom Client und vom Agent gemeinsam verwendeten Initialisierungswert basiert, dazu ausgelegt ist, in das zur Authentisierung zwischen dem Client und dem Agent zu übermittelnde Gemeinschafts-Zeichenketten-Feld eingegliedert zu werden, wobei die Zeichenkette durch einen Algorithmus bestimmt wird, der basierend auf dem gemeinsam verwendeten Initialisierungswert sowohl beim Client als auch beim Agent den gleichen Wert bereitstellt. ) In accordance with an ordinarily insecure network communication protocol, the protocol comprising a communal string field for an appliance in the data communication, characterized in that once a string to be applied, based on a shared by the client and the agent initialization, adapted is to be in the incorporated for authentication between the client and the agent to be transmitted communal string field, wherein the string is determined by an algorithm that provides, based on the shared initialization both the client and the agent of the same value ,
  2. System nach Anspruch 1, wobei eine zweite Zeichenkette, die dazu ausgelegt ist, einmal angewendet zu werden, basierend auf dem gemeinsam verwendeten Initialisierungswert bestimmt wird, wenn entweder der Client oder der Agent die einmal anzuwendende Zeichenkette einmal angewendet hat. The system of claim 1, to be a second character string that is adapted to be applied once, is determined based on the shared initialization value, if either the client or the agent has applied the once applied string once.
  3. System nach Anspruch 2, wobei die übertragene einmal anzuwendende Zeichenkette einer Sendeinstanz und die erzeugte einmal anzuwendende Zeichenkette einer empfangenden Netzinstanz für jede Zeichenketten-Berechnungsrunde einander entsprechen und jedes andere Paar der Zeichenketten einander nicht entspricht, wobei der Client und der Agent abhängig von einer Betriebsart des Clients und des Agents in der Kommunikationsverbindung eine sendende Netzinstanz und eine empfangende Netzinstanz umfassen, wobei die Rollen vertauscht sein können. The system of claim 2, wherein the transmitted once applied string of a transmitting entity and the generated once applied string of a receiving network entity for each string calculation round correspond to each other, and every other pair of the strings does not match each other, the client and the agent depending on a mode of operation clients and comprise a transmitting network entity and a receiving network entity, wherein the roles can be reversed of the agent in the communication link.
  4. System nach Anspruch 1, wobei der gemeinsam verwendete Initialisierungswert auf einem Zufallszahlengenerator basiert und entweder am Client oder am Agent erzeugt wird und an denjenigen kommuniziert wird, der den gemeinsam verwendeten Initialisierungswert nicht erzeugt hat. The system of claim 1, wherein the initialization is based on a shared random number generator and is generated at either the client or the agent, and communicated to the one who has not generated the initialization shared.
  5. System nach einem der vorhergehenden Ansprüche, wobei das gewöhnlich unsichere Netzkommunikationsprotokoll das Simple-Network-Management-Protocol (SNMP) umfasst. System according to any one of the preceding claims, wherein the generally insecure network communication protocol comprises Simple Network Management Protocol (SNMP).
  6. System nach einem der vorhergehenden Ansprüche, wobei die Kommunikationsverbindung ( System according to one of the preceding claims, wherein the communication link ( 104 104 ) das Internet umfasst. ) Comprises the Internet.
  7. System nach einem der vorhergehenden Ansprüche, wobei der Algorithmus eine neue einmal anzuwendende Zeichenkette erzeugt, wobei die Zeichenkette auf dem Initialisierungswert und auf einer sicheren Zufallslogik beruht, damit ein Muster einer Mehrzahl der Zeichenketten schwer zu kopieren ist. System according to one of the preceding claims, wherein the algorithm generates a new string to be applied once, the character string based on the initial value and on a secure random logic, so that a pattern of a plurality of character strings is difficult to copy.
  8. System nach Anspruch 1, wobei der Client und der Agent in einer Arbeitsschleife einer gerade erzeugten und einmal anzuwendenden Zeichenkette durch eine Rückmeldungs-Nachricht zwischen dem Client und dem Agent synchronisiert bleiben. The system of claim 1, wherein the client and the agent in a work loop of a string just generated and once to be applied remain synchronized by a response message between the client and the agent.
  9. System nach Anspruch 1, wobei der Client oder der Agent eine Operation in Übereinstimmung mit der Datenkommunikation als nicht-autorisiert setzt, wenn die einmal anzuwendende Zeichenkette, die zwischen ihnen übermittelt wird, nicht mit einer von einer empfangenden Netzinstanz erzeugten, einmal anzuwendenden Zeichenkette übereinstimmt, wobei der Client und der Agent abhängig von einer Betriebsart des Clients und des Agents in der Kommunikationsverbindung eine sendende Netzinstanz und die empfangende Netzinstanz umfassen, wobei die Rollen vertauscht sein können. The system of claim 1, wherein the client or the agent sets an operation in accordance with the data communication to be non-authorized when the once applied string is transmitted therebetween, does not correspond with a generated by a receiving network entity, once applied string, wherein the client and the agent from one operating mode of the client and the agent in the communication link depending comprise a transmitting network entity and the receiving network entity, wherein the roles can be reversed.
  10. Vorrichtung ( means ( 100 100 , . 102 102 ) zum Bereitstellen einer Authentisierung von Datenkommunikation über eine Kommunikationsverbindung ( ) (For providing authentication of data communication over a communication link 104 104 ) zwischen einem Client ( ) (Between a client 100 100 , . 102 102 ) und einem Agent ( ) And an agent ( 100 100 , . 102 102 ) in Übereinstimmung mit einem gewöhnlich unsicheren Netzkommunikationsprotokoll, wobei das Protokoll ein Gemeinschafts-Zeichenketten-Feld für eine Anwendung in der Datenkommunikation umfasst, dadurch gekennzeichnet, dass eine einmal anzuwendende Zeichenkette, die auf einem vom Client und vom Agent gemeinsam verwendeten Initialisierungswert basiert, dazu ausgelegt ist, in ein zwischen dem Client und dem Agent zu übertragendes Gemeinschafts-Zeichenketten-Feld zur Authentisierung eingegliedert zu werden, wobei die einmal anzuwendende Zeichenkette durch einen Algorithmus bestimmt wird, der basierend auf dem gemeinsam verwendeten Initialisierungswert sowohl beim Client als auch beim Agent den gleichen Wert bereitstellt. ) In accordance with an ordinarily insecure network communication protocol, the protocol comprising a communal string field for an appliance in the data communication, characterized in that once a string to be applied, based on a shared by the client and the agent initialization, adapted is to be incorporated into one between the client and the agent to be transmitted communal string field for authentication, the once string to be applied is determined by an algorithm based on the shared initialization both the client and the agent the same value provides.
  11. Verfahren zur Authentisierung von Datenkommunikation über eine Kommunikationsverbindung ( A method for authentication of data communication over a communication link ( 104 104 ) zwischen einer sendenden Netzinstanz ( ) (Between a sending network entity 100 100 , . 102 102 ) und einer empfangenden Netzinstanz ( ) And a receiving network entity ( 100 100 , . 102 102 ) in Übereinstimmung mit einem gewöhnlich unsicheren Netzkommunikationsprotokoll, wobei das Protokoll ein Gemeinschafts-Zeichenketten-Feld für eine Anwendung in der Datenkommunikation umfasst, dadurch gekennzeichnet, dass das Verfahren folgende Schritte umfasst: Festlegen ( ) In accordance with an ordinarily insecure network communication protocol, the protocol comprising a communal string field for an appliance in the data communication, characterized in that the method comprises the steps of: (Setting 300 300 , . 302 302 , . 400 400 ) eines Initialisierungswertes an einer von beiden Netzinstanzen zum gemeinsamen Verwenden des Initialisierungswertes mit derjenigen Netzinstanz, die den Initialisierungswert nicht festgelegt hat, gemeinsames Verwenden ( ) Of an initialization value of one of the two network entities for the common use of the initialization with that network entity that has not set the initialization, commonly using ( 300 300 , . 302 302 , . 400 400 , . 408 408 , . 410 410 ) des Initialisierungswertes mit derjenigen Netzinstanz, die den Initialisierungswert nicht festgelegt hat, Erzeugen einer einmal anzuwendenden Zeichenkette ( ) Of the initialization with that network entity that has not set the initialization, (generating a string to be applied once 304 304 , . 306 306 , . 404 404 ) basierend auf dem gemeinsam verwendeten Initialisierungswert sowohl an der sendenden Netzinstanz als auch an der empfangenden Netzinstanz, Eingliedern ( ) Based (on the shared initialization at both the sending network entity and at the receiving network entity, incorporating 308 308 , . 310 310 , . 406 406 ) der Zeichenkette an einer sendenden Netzinstanz in das Gemeinschafts-Zeichenketten-Feld zum Übermitteln einer Nachricht in Übereinstimmung mit dem gewöhnlich unsicheren Netzkommunikationsprotokoll, Empfangen ( ) Of the string at a sending network entity into the communal string field for transmitting a message in accordance with the ordinarily insecure network communication protocol, receiving ( 308 308 , . 310 310 , . 406 406 ) der Nachricht an der empfangenden Netzinstanz, Überprüfen ( () The message to the receiving network entity, Check 308 308 , . 310 310 , . 406 406 ) der Zeichenkette des Gemeinschafts-Zeichenketten-Feldes der Nachricht auf Übereinstimmung mit der berechneten Zeichenkette an der empfangenden Netzinstanz, und Authentisieren ( ) (The character string of the communal string field of the message for correspondence with the calculated string at the receiving network entity, and authenticating 308 308 , . 310 310 , . 406 406 ) der Nachricht, wenn die Zeichenkette des Gemeinschafts-Zeichenketten-Feldes der Nachricht mit der erzeugten Zeichenkette übereinstimmt. ) Of the message if the string of the communal string field of the message with the generated character string match.
  12. Verfahren nach Anspruch 11 ferner die Schritte umfassend: Erzeugen einer zweiten einmal anzuwendenden Zeichenkette basierend auf dem gemeinsam verwendeten Initialisierungswert sowohl an der sendenden Netzinstanz als auch an der empfangenden Netzinstanz, Eingliedern der zweiten Zeichenkette an der sendenden Netzinstanz in das Gemeinschafts-Zeichenketten-Feld zum Übermitteln einer zweiten Nachricht in Übereinstimmung mit dem gewöhnlich unsicheren Netzkommunikationsprotokoll, Empfangen der zweiten Nachricht an der empfangenden Netzinstanz, Überprüfen der zweiten Zeichenkette des Gemeinschafts-Zeichenketten-Feldes der zweiten Nachricht auf Übereinstimmung mit der zweiten berechneten Zeichenkette an der empfangenden Netzinstanz, und Authentisieren der zweiten Nachricht, wenn die zweite Zeichenkette des Gemeinschafts-Zeichenketten-Feldes der zweiten Nachricht mit der erzeugten zweiten Zeichenkette übereinstimmt. The method of claim 11 further comprising the steps of: generating a second once applicable character string based on the shared initialization at both the sending network entity and at the receiving network entity, incorporating the second string at the transmitting network entity into the communal string field for transmitting a second message in accordance with the ordinarily insecure network communication protocol, receiving the second message at the receiving network entity, checking the second string of the communal string field of the second message in accordance with the second calculated string at the receiving network entity, and authenticating the second message, when the second string of the communal string field of the second message matches the generated second string.
  13. Verfahren nach Anspruch 11, wobei die sendende Netzinstanz und die empfangende Netzinstanz abhängig von einer Betriebsart der sendenden Netzinstanz und der empfangenden Netzinstanz in der Kommunikationsverbindung einen Client und einen Agent umfassen, wobei die Rollen vertauscht sein können. The method of claim 11, wherein the transmitting network entity and the receiving network entity in the communications link include, depending on an operation mode of the transmitting network entity and the receiving network entity a client and an agent, wherein the roles can be reversed.
DE2003602620 2002-09-06 2003-09-05 Method, system and apparatus for providing authentication of data communication Active DE60302620T2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FI20021594 2002-09-06
FI20021594A FI113924B (en) 2002-09-06 2002-09-06 The method, system and apparatus for indicating the authenticity of the data traffic,

Publications (2)

Publication Number Publication Date
DE60302620D1 DE60302620D1 (en) 2006-01-12
DE60302620T2 true DE60302620T2 (en) 2006-06-22

Family

ID=8564540

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2003602620 Active DE60302620T2 (en) 2002-09-06 2003-09-05 Method, system and apparatus for providing authentication of data communication

Country Status (5)

Country Link
US (1) US20050076206A1 (en)
EP (1) EP1396961B1 (en)
CN (2) CN101425925B (en)
DE (1) DE60302620T2 (en)
FI (1) FI113924B (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1654852B1 (en) 2003-07-11 2008-04-02 International Business Machines Corporation System and method for authenticating clients in a client-server environment
US7779420B1 (en) * 2003-09-29 2010-08-17 Cisco Technology, Inc. Verifying information stored on a managed network device
DE102005014775B4 (en) * 2005-03-31 2008-12-11 Nokia Siemens Networks Gmbh & Co.Kg The method, communication device and communication means for controlling access to at least one communication device
CN100425022C (en) 2005-06-22 2008-10-08 腾讯科技(深圳)有限公司 Method and system for producing same random number between communication equipments
US7555826B2 (en) 2005-12-22 2009-07-07 Avery Dennison Corporation Method of manufacturing RFID devices
US7877469B2 (en) * 2006-02-01 2011-01-25 Samsung Electronics Co., Ltd. Authentication and authorization for simple network management protocol (SNMP)

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6226383B1 (en) * 1996-04-17 2001-05-01 Integrity Sciences, Inc. Cryptographic methods for remote authentication
US6690289B1 (en) * 1997-06-12 2004-02-10 Microsoft Corporation Message formatting, authentication, and error detection in home control systems
US6044468A (en) * 1997-08-25 2000-03-28 Emc Corporation Secure transmission using an ordinarily insecure network communication protocol such as SNMP
US6047072A (en) * 1997-10-23 2000-04-04 Signals, Inc. Method for secure key distribution over a nonsecure communications network
US6664978B1 (en) * 1997-11-17 2003-12-16 Fujitsu Limited Client-server computer network management architecture
IL126147D0 (en) 1998-09-09 1999-05-09 Focus Lion Communications & Ad Method and system for the protected distribution of network files
US6851052B1 (en) * 1998-12-10 2005-02-01 Telcordia Technologies, Inc. Method and device for generating approximate message authentication codes
US6985583B1 (en) * 1999-05-04 2006-01-10 Rsa Security Inc. System and method for authentication seed distribution
FI19991733A (en) 1999-08-16 2001-02-17 Nokia Networks Oy Authentication mobile communication system
CN1213582C (en) * 1999-09-28 2005-08-03 汤姆森特许公司 System and method for intializing simple network management protocol (SNMP) agent
AT306799T (en) 2000-11-24 2005-10-15 Fraud detection method for mobile telecommunication networks
US6988148B1 (en) * 2001-01-19 2006-01-17 Cisco Technology, Inc. IP pool management utilizing an IP pool MIB
US20030210699A1 (en) * 2002-05-08 2003-11-13 Adc Dsl Systems, Inc. Extending a network management protocol to network nodes without IP address allocations

Also Published As

Publication number Publication date
CN1496056A (en) 2004-05-12
FI113924B (en) 2004-06-30
FI113924B1 (en)
CN101425925A (en) 2009-05-06
FI20021594A (en) 2004-03-07
FI20021594A0 (en) 2002-09-06
CN101425925B (en) 2011-04-06
EP1396961B1 (en) 2005-12-07
FI20021594D0 (en)
DE60302620D1 (en) 2006-01-12
EP1396961A1 (en) 2004-03-10
US20050076206A1 (en) 2005-04-07

Similar Documents

Publication Publication Date Title
US6292790B1 (en) Apparatus for importing and exporting partially encrypted configuration data
DE60312911T2 (en) System for mobile authentication with reduced authentication delay
DE60124765T2 (en) Method and apparatus for managing security-sensitive transactions collaborative
DE69923954T2 (en) Communication system and method
DE3303846C2 (en)
DE69838443T2 (en) Distributed network computing system
DE102008059485B4 (en) Deploying Active Management Technology (AMT) in computer systems
DE10052312B4 (en) Automatic barrier against unauthorized access on the Internet (Snoop Avoider) for virtual private networks
DE69830726T2 (en) A method of operating a system of authentication servers and such a system
DE60320486T2 (en) Systems and methods for delivery of applications and configuration management for mobile devices
DE602004010300T2 (en) System and method for generating a digital certificate
DE10124111B4 (en) System and method for distributed management group
DE60024319T2 (en) unified sign-on process
DE60037593T2 (en) Secured ad hoc network and method operate to its
DE69825479T2 (en) A method of operating a data communication system, data communication system and client terminal
DE69933329T2 (en) Apparatus and method for secure transmission of documents that are sent by a Webmittel
DE602004010270T2 (en) Quantum cryptography with checking the quantum channel
DE69930919T2 (en) Secure electronic mail system
DE69935030T2 (en) System and method for web server user authentication
DE60211841T2 (en) Means for updating and withdrawal of the validity of a brand in a Public Key Infrastructure
DE69831974T2 (en) A method for packet authentication in the presence of network address translations and protocol conversions
DE60026296T2 (en) Method and apparatus for secure cryptographic communications
DE10338113B4 (en) Network server and method for identifying network nodes
EP2484047B1 (en) Method for protecting sensor data from manipulation, and sensor to this end
DE112004000428B4 (en) Methods and systems for managing security policies

Legal Events

Date Code Title Description
8364 No opposition during term of opposition